Il Garante Privacy avvia una istruttoria sulla App C-Healer
Di Dott. Christian Bernieri - DPO
Nei giorni a cavallo di Natale, è stata rilasciata una App, inizialmente chiamata Covid Healer, successivamente rinominata C-Healer. In apparenza lo scopo dichiarato pare meritorio: organizzare supporto medico ai malati di Covid-19 e metterli in contatto con medici disposti a prestare assistenza. Ad uno sguardo più approfondito, leggendo le pagine del sito di riferimento, i termini e condizioni di uso del servizio e la modulistica, la App e l'associazione sottostante si manifestano in realtà come qualcosa di differente, non fosse altro per l'ingente mole di dati trattati al solo fine, dichiarato, di mettere in contatto un utente bisognoso di cure con un professionista disposto a dare consigli e prestare assistenza medica.
L'iniziativa è stata notata da molti, ciascuno con la propria ottica. Alcuni hanno riconosciuto nell'iniziativa una sospirata alternativa alle cure ufficiali, altri hanno riconosciuto nella medesima iniziativa un tentativo di carpire utenti, con vacue promesse, facendo leva sul disperato bisogno di persone malate. Altri, come il sottoscritto, si sono limitati ad inorridire rispetto al tema del trattamento dei dati personali, come desumibile dagli elementi visibili dell'App, del sito e della documentazione di accesso all'iniziativa.
A seguito di queste osservazioni, un piccolo gruppo di persone ha analizzato a fondo alcuni elementi di compliance al GDPR riscontrando una serie di elementi fattuali e mettendo il lavoro di analisi all'attenzione del Garante.
Ogni giorno il Garante Privacy si dedica ad attività di vigilanza ed interviene al fine di sanzionare e bloccare chi non rispetta i requisiti e gli adempimenti imposti dalla legge a chiunque intenda trattare dati personali.
In questo caso il Garante ha accolto una segnalazione presentata inizialmente via twitter e successivamente in modo formale da @sonoclaudio, con il contributo di @relationsatwork e di @prevenzione, ritenendola fondata e meritevole di approfondimento.
Sia la segnalazione che l'intervento del Garante sono focalizzati unicamente sul rispetto dei requisiti minimi nell'acquisizione dei dati, sul loro trattamento, sulla necessaria trasparenza e sull'adempimento delle misure previste a garanzia dei dati degli utenti (siano essi i medici e i pazienti coinvolti).
Il particolare ambito delle cure domiciliali è divisivo e rappresenta per alcuni un'alternativa, in contrapposizione alle cure ufficiali gestite dalla sanità pubblica. Questo aspetto non è stato sfiorato dall'attività del Garante e non è citato nella segnalazione, se non nei termini in cui qualifica un trattamento di dati particolari, pertanto, più rischiosi e delicati da trattare.
Come ricorda il Garante nel comunicato stampa, i dati personali particolari (già noti come dati sensibili) non possono essere trattati, se non in alcuni casi previsti dalla legge e adottando misure di prevenzione rafforzate. Già ad un primo sguardo, la App oggetto di indagine sembra violare questo divieto e ignorare le misure che la legge chiede di attuare.
In particolare, la gestione delle basi di legittimazione e delle finalità dei trattamenti paiono incomprensibili poiché svincolate le une dalle altre. L'utente non ha la possibilità di comprendere ciò che avverrà e ciò che capiterà ai suoi dati personali.
Anche il consenso chiesto è fortemente penalizzato dalla opacità delle informazioni e non può essere definito un consenso informato, né reso in modo volontario. Anche il fatto che sia chiesto un unico consenso per una pluralità di trattamenti balza all'attenzione di qualunque utente e contrasta con i principi base della normativa di riferimento, il GDPR. Accertare queste ipotesi è l'unico intento del Garante.
L'importanza della protezione che i dati sensibili meritano risulta evidente pensando a quanto possano essere vulnerabili le persone che, spaventate dalla malattia, cercano ogni possibile appiglio di salvezza, sottovalutando le conseguenze di altri aspetti che, in tali circostanze, appaiono ai loro occhi marginali, insignificanti e magari di ostacolo rispetto ad una finalità impellenti come la cura delle malattie e la salute fisica. In questo contesto, purtroppo, operano spesso attori che, abusando dello stato di emergenza, della paura delle persone e della loro fragilità, agiscono in modo non etico, accumulando dati non necessari e monetizzandoli o, quanto meno, violando il fondamentale diritto alla protezione dei dati a cui ogni persona, in particolare chi è fragile, ha diritto.
Nonostante il periodo festivo, il Garante ha accolto la segnalazione e si è attivato con una tempistica stupefacente, probabilmente riconoscendo a prima vista fondati motivi e una elevata pericolosità del trattamento che ora è oggetto di indagine.
A seguito del tempestivo intervento dell'Autorità, "si è assistito all'usuale diluvio di risposte volgari o violente", così si è espresso il Garante in un messaggio su twitter, affermando inoltre che "Continueremo a diffondere la cultura della protezione dei dati personali. Esiste una comunità attenta, sensibile presente. Grazie a quanti sono intervenuti per ricordarlo."
Le scomposte voci di dissenso rispetto all'iniziativa paiono accomunate dalla confusione dei ruoli: il garante mira unicamente a far rispettare norme di legge, non a scrivere tali norme né ad affossare o promuovere iniziative private sulla base di un giudizio di opportunità o di legalità o, ancora, di conformità ad uno o l'altro pensiero. Chiaramente la libertà di cui godiamo, e che proprio il GDPR ci assicura, implica che si possa dissentire dall'operato del Garante, tuttavia resta un dovere esprimere le proprie opinioni in modo informato e consapevole e questo, purtroppo, viene spesso dimenticato.
Il 2021 si conclude dunque con un intervento forte, chiesto da gente comune, destinato alla gente comune ed orientato a prevenire i danni e i trattamenti illeciti dei dati personali di chi, in questo momento, ha più bisogno di aiuto e protezione. Questo è un messaggio molto forte e un ottimo auspicio per l'attività a venire del Autorità Garante per la Protezione dei Dati Personali.